Cookie law e Garante per la privacy: la mia soluzione | Flavio's blog


Cookie law e Garante per la privacy: la mia soluzione

in Attualità Webdesign, Web 2.0 & SEO | | 6 Commenti » | Ultima modifica:

No, non vi metterò immagini di “biscottini americani” con la faccia arrabbiata per risultare più simpatico o “indorare la pillola”, come in questi giorni stanno facendo molti blogger che, stringi stringi, scrivono articoli sulla “cookie law all’italiana” col solo scopo di ricevere traffico organico, ma non propongono alcuna soluzione, e non fanno altro che scopiazzare le solite cose  trite e ritrite, o rimandare ai soliti servizi pay, oltre che scrivere affermazioni errate, dimostrando di non aver neanche dato una veloce lettura alla normativa.

Pur non essendo un avvocato (sfido molti avvocati, non esperti in materia, a comprendere a fondo l’aborto che è stato prodotto), preferendo fidarmi di me stesso che non del primo sconosciuto che scrive sul web, ho cercato di capire cosa fosse scritto nel provvedimento dell’8 Maggio 2014 in materia di cookie e privacy, entrato in vigore dal 2 Giugno 2015. Non garantisco di essere riuscito a capire alla perfezione la norma, ma mi sono fatto un’idea.

In sostanza: bisogna richiedere il consenso dell’utente prima (prima, non dopo, come stanno facendo alcuni utenti, adottando metodi usati in altri paesi!) di installare i cookie che non siano meramente di “sessione”.

Vi rimando alla sezione ufficiale, sul sito del garante, per capire quali differenze vi siano fra cookie tecnici, cookie analitici, cookie di profilazione (di terze parti o meno), e così via.

Utilizzo sia i pulsanti di condivisione di Facebook/Twitter/Google+, sia Google AdSense, sia le mappe di Google Maps, sia i video di Youtube, sia Google Analytics: stando alle interpretazioni degli ultimi giorni, questi servizi installano cookie di profilazione (di terze parti, poichè il fornitore di tali servizi non sono io). Secondo il Garante, non è possibile installare tali cookie, senza il consenso informato dell’utente, tramite informativa breve (banner), ed informativa estesa (policy).

D’altro canto, il Garante riconosce che non è possibile avere il pieno controllo sui cookie di terze parti (quindi, non installati direttamente dal sito, ma da servizi terzi, quali i pulsanti di condivisione/like).
Riporto da http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Soggetti coinvolti: editori e “terze parti”

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”).

Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.
In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell’informativa rilasciata dall’editore, rendendo nel contempo estremamente faticosa per l’utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l’intento di semplificazione previsto dall’art. 122 del Codice.

Analogamente, per quanto concerne l’acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte  tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste.

Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

Queste sono le soluzioni che, ad oggi, ho adottato, e che saranno in uso fino a nuove disposizioni:

  • Rimozione delle Google Map “embeddate” nel sito.

Queste mappe generano cookie di profilazione di terze parti, che non possono essere bloccati preventivamente. Al posto delle Google Map, ho inserito dei link diretti alle mappe, in modo da portare l’utente direttamente sui server di Google, scongiurando la creazione di tali cookie.

  • Embed dei video di Youtube effettuato tramite la versione “no cookie” di Youtube (youtube-nocookie.com).

E’sufficiente installare il plugin per WordPress “EU Tube User Privacy“, che provvederà a fornire la versione “no cookie” dei video di Youtube.

  • Anonimizzazione dei dati collezionati da Google Analytics

“Sembra” che la norma possa essere “interpretata” in maniera tale da considerare il cookie (di terze parti) di profilazione di Google Analytics alla stregua di un cookie analitico di terze parti.

Per fare ciò, è sufficiente offuscare l’ultima parte dell’indirizzo IP degli utenti, rendendoli, quindi, irriconoscibili, e raccogliendo i dati in forma aggregata.

Andiamo a modificare il nostro codice Google Analytics, inserendo la riga:

 ga('set', 'anonymizeIp', true);

appena prima di:

 ga('send', 'pageview');
  • Blocco dei pulsanti di condivisione (Twitter/Facebook/Google+), blocco del codice di tracciamento Analytics, blocco del sistema di commenti Disqus, fino a quando l’utente non esprime il suo consenso all’installazione di tali cookie.

Questi (ed altri) servizi generano cookie di analitici o profilazione di terze parti (con le debite considerazioni fatte poco sopra, per Google Analytics).

Per bloccare l’installazione di tali cookie fino a quando, come da indicazioni del Garante, l’utente non ha cliccato sull’apposito pulsante del banner, non ha effettuato uno “scrolling” della pagine, o non ha effettuato un click su qualsiasi elemento della pagina, ho utilizzato l’ottimo plugin EUCookieLaw, scritto dal disponibilissimo Diego La Monica.

Scarichiamo solo i seguenti file:

  • EUCookieLaw.js
  • eucookielaw.css
  • eucookielaw-header.php

Nota bene: se utilizzate solo WordPress, potete utilizzare EUCookieLaw in versione WP-plugin, scaricabile a questo indirizzo: click.

Potete leggere una guida in inglese, che spiega in dettaglio tutti i settaggi, nella pagina GitHub dello sviluppatore ma, per questioni di praticità, vi riporto la configurazione base che utilizzo, e che permette di bloccare preventivamente AdSense, Disqus, Facebook, Twitter, Google Analytics, Youtube, cookie di Google Font. Il codice, inoltre, imposta un cookie della durata di un anno nel computer dell’utente, in maniera tale che il messaggio di avviso non apparirà più nei mesi seguenti.

In cima al vostro codice, inserite queste righe in PHP:

define('EUCOOKIELAW_DISALLOWED_DOMAINS', '.google.com;.google.it;.google-analytics.com;fonts.googleapis.com;.doubleclick.net;stats.g.doubleclick.net;doubleclick.net;.googlesyndication.com/pagead/;.twitter.com;www.youtube-nocookie.com;www.youtube.com;.facebook.net;.facebook.com;.facebook.it;.disqus.com');
define('EUCOOKIELAW_LOOK_IN_SCRIPTS', true);
define('EUCOOKIELAW_BANNER_TITLE', 'Informativa sull\'utilizzo dei cookie');
define('EUCOOKIELAW_BANNER_DESCRIPTION', 'Questo sito utilizza cookie tecnici e di profilazione (di terze parti), per migliorare la tua esperienza di navigazione, ed inviarti pubblicità in linea con le tue preferenze. <a href="/privacy_cookie_policy.html" target="_blank">In questa pagina<\/a> puoi leggere l\'informativa estesa</a> o negare il consenso a tutti o ad alcuni cookie.<br>Cliccando su <i>"OK"</i>, scrollando la pagina, o cliccando su un elemento, acconsenti all\’uso di tali cookie.<br><br>This website needs 3rd party profiling cookies for providing a better user experience. By clicking on <i>"OK"</i> or by scrolling the page, you accept such cookies. Click <a href="/privacy_cookie_policy.html" target="_blank">here<\/a> to read more or opt-out.');
define('EUCOOKIELAW_BANNER_AGREE_BUTTON', 'OK');
define('EUCOOKIELAW_DEBUG', false);
define('EUCOOKIELAW_BANNER_AGREE_LINK', '?__eucookielaw=agree');
require_once ('eucookielaw-header.php');


Subito dopo, inserite il file eucookielaw.css, il file eucookielaw.js, e le relative impostazioni:

<script type="text/javascript" src="EUCookieLaw.js"></script>
<script type="text/javascript">
        new EUCookieLaw({
            message: 'Questo sito utilizza cookie tecnici e di profilazione (di terze parti), per migliorare la tua esperienza di navigazione, ed inviarti pubblicità in linea con le tue preferenze. <a href=\"/privacy_cookie_policy.html\" target=\"_blank\">In questa pagina<\/a> puoi leggere l\'informativa estesa</a> o negare il consenso a tutti o ad alcuni cookie.<br>Cliccando su <i>"OK"</i>, scrollando la pagina, o cliccando su un elemento, acconsenti all\’uso di tali cookie.<br><br>This website needs 3rd party profiling cookies for providing a better user experience. By clicking on <i>"OK"</i> or by scrolling the page, you accept such cookies. Click <a href=\"/privacy_cookie_policy.html\" target=\"_blank\">here<\/a> to read more or opt-out.',
            showBanner: true,
            bannerTitle: 'Informativa sull\'utilizzo dei cookie',
            agreeLabel: 'OK',
            reload: true,
            duration: 364,
            agreeOnScroll: true,
            agreeOnClick: true
        });
    </script>
<link type="text/css" rel="stylesheet" href="eucookielaw.css" />

Come potete notare nel testo, faccio riferimento al testo della cookie e privacy policy del sito, che va inserita obbligatoriamente. Nel mio caso, la policy si trova nella root del sito, ed il suo nome è privacy_cookie_policy.html

Cliccando sulla policy, l’utente potrà informarsi circa la tipologia di cookie che saranno installati, e potrà eventualmente bloccarli. Sta a voi scrivere una policy adeguata, e conforme ai servizi presenti sul vostro sito.

In definitiva, ciò dovrebbe essere sufficiente a placare l’inusuale fame di privacy che, da qualche tempo, sembra attanagliare l’Italia, e scongiurare il pericolo di multe che possono superare i centromila Euro.

Potete verificarne il funzionamento, utilizzando strumenti di sviluppo come Firebug, ed andando nella scheda “Cookie”.

Va da sé che il codice viene fornito AS IS, e non mi assumo alcuna responsabilità di alcun uso, improprio o meno, di tale soluzione, né sulla piena conformità di tale soluzione alle indicazioni del Garante.

Utilizzo questa soluzione sul mio sito (ad oggi, 8/8/15, ndr), ed ogni vostro feedback è il ben venuto. 🙂

edit: segnalo i chiarimenti del Garante, pubblicati in tarda giornata, il 5 Giugno 2015



Ti potrebbe interessare anche...

6 Commenti »

Per piacere accetta i cookie di terze parti per poter commentare il post! Il pulsante CAMBIA LE SCELTE DEI COOKIE si trova nel footer del sito. / In order to comment this post, please accept the third party cookies! The button CAMBIA LE SCELTE DEI COOKIE is in the footer of the website.